nmap是用來(lái)探測(cè)計(jì)算機(jī)網(wǎng)絡(luò)上的主機(jī)和服務(wù)的一種安全掃描器。為局域網(wǎng)ping軟件了繪制網(wǎng)絡(luò)拓?fù)鋱DNmap的發(fā)送特制的數(shù)據(jù)包到目標(biāo)主機(jī)然后對(duì)返回?cái)?shù)據(jù)包進(jìn)行分析。Nmap是一款枚舉和測(cè)試網(wǎng)絡(luò)的強(qiáng)大工具。
特點(diǎn)
主機(jī)探測(cè)
端口掃描
版本檢測(cè)
支持探測(cè)腳本的編寫(xiě)
安裝
官網(wǎng):https://nmap.org 圖形化:Zenmap
基本操作
>>>>
基本快速掃描
Nmap 默認(rèn)發(fā)送一個(gè)arp的ping數(shù)據(jù)包來(lái)探測(cè)目標(biāo)主機(jī)在1-10000范圍內(nèi)所開(kāi)放的端口。
nmap -vv 10.1.1.254
>>>>
快速掃描多個(gè)目標(biāo)
nmap <target ip1 address> <target ip2 address>
nmap 10.130.1.28 10.130.1.43
>>>>
詳細(xì)描述輸出掃描
簡(jiǎn)單掃描并對(duì)返回的結(jié)果詳細(xì)描述輸出,這個(gè)掃描是可以看到掃描的過(guò)程的,漫長(zhǎng)的掃描的過(guò)程中可以看到百分比 就不會(huì)顯得那么枯燥而且可以提升逼格。
nmap -vv 10.1.1.254
>>>>
指定端口和范圍掃描
nmap 默認(rèn)掃描目標(biāo)1-10000范圍內(nèi)的端口號(hào)。局域網(wǎng)ping軟件我們則可以通過(guò)參數(shù)-p 來(lái)設(shè)置我們將要掃描的端口號(hào)n
map -p(range) <target IP>
namp -p3389,20-100 10.130.1.43
>>>>
掃描除過(guò)某一個(gè)ip外的所有子網(wǎng)主機(jī)
nmap 10.130.1.1/24 -exclude 10.130.1.1
>>>>
掃描除過(guò)某一個(gè)文件中的ip外的子網(wǎng)主機(jī)
nmap 10.130.1.1/24 -excludefile gov.txt
>>>>
顯示掃描的所有主機(jī)的列表
nmap -sL 10.130.1.1/24
>>>>
sP ping 掃描
nmap 可以利用類似window/linux 系統(tǒng)下的ping方式進(jìn)行掃描
nmap -sP <target ip>
一般來(lái)說(shuō) 我們會(huì)用這個(gè)命令去掃描內(nèi)網(wǎng)的一個(gè)ip范圍用來(lái)做內(nèi)網(wǎng)的主機(jī)發(fā)現(xiàn)。
nmap -sP 10.130.1.1-255
PING掃描不同于其它的掃描方式因?yàn)樗挥糜谡页鲋鳈C(jī)是否是存在在網(wǎng)絡(luò)中的.它不是用來(lái)發(fā)現(xiàn)是否開(kāi)放端口的.PING掃描需要ROOT權(quán)限如果用戶沒(méi)有ROOT權(quán)限,PING掃描將會(huì)使用connect()調(diào)用.
>>>>
sS SYN半開(kāi)放掃描
nmap -sS 192.168.1.1
Tcp SYN Scan (sS) 這是一個(gè)基本的掃描方式,它被稱為半開(kāi)放掃描因?yàn)檫@種技術(shù)使得Nmap不需要通過(guò)完整的握手就能獲得遠(yuǎn)程主機(jī)的信息。Nmap發(fā)送SYN包到遠(yuǎn)程主機(jī)但是它不會(huì)產(chǎn)生任何會(huì)話.因此不會(huì)在目標(biāo)主機(jī)上產(chǎn)生任何日志記錄,因?yàn)闆](méi)有形成會(huì)話。這個(gè)就是SYN掃描的優(yōu)勢(shì).如果Nmap命令中沒(méi)有指出掃描類型,默認(rèn)的就是Tcp SYN.但是它需要root/administrator權(quán)限。
>>>>
sT TCP掃描
nmap -sT 192.168.1.1
不同于Tcp SYN掃描,Tcp connect()掃描需要完成三次握手,并且要求調(diào)用系統(tǒng)的connect().Tcp connect()掃描技術(shù)只適用于找出TCP和UDP端口。
>>>>
sU UDP掃描
nmap -sU 192.168.1.1
這種掃描技術(shù)用來(lái)尋找目標(biāo)主機(jī)打開(kāi)的UDP端口.它不需要發(fā)送任何的SYN包因?yàn)檫@種技術(shù)是針對(duì)UDP端口的。UDP掃描發(fā)送UDP數(shù)據(jù)包到目標(biāo)主機(jī)并等待響應(yīng),如果返回ICMP不可達(dá)的錯(cuò)誤消息說(shuō)明端口是關(guān)閉的如果得到正確的適當(dāng)?shù)幕貞?yīng)說(shuō)明端口是開(kāi)放的.
>>>>
sF FIN標(biāo)志的數(shù)據(jù)包掃描
nmap -sF 110.130.1.43
可以看出這個(gè)掃描的話 會(huì)漏掃許多~FIN掃描也不會(huì)在目標(biāo)主機(jī)上創(chuàng)建日志(FIN掃描的優(yōu)勢(shì)之一).個(gè)類型的掃描都是具有差異性的,FIN掃描發(fā)送的包只包含F(xiàn)IN標(biāo)識(shí),NULL掃描不發(fā)送數(shù)據(jù)包上的任何字節(jié),XMAS掃描發(fā)送FIN、PSH和URG標(biāo)識(shí)的數(shù)據(jù)包.
>>>>
sV Version版本檢測(cè)掃描
nmap -sV 192.168.1.135
本檢測(cè)是用來(lái)掃描目標(biāo)主機(jī)和端口上運(yùn)行的軟件的版本.它不同于其它的掃描技術(shù)它不是用來(lái)掃描目標(biāo)主機(jī)上開(kāi)放的端口不過(guò)它需要從開(kāi)放的端口獲取信息來(lái)判斷軟件的版本.使用版本檢測(cè)掃描之前需要先用TCPSYN掃描開(kāi)放了哪些端口。
這個(gè)掃描的話速度會(huì)慢一些67.86秒掃一個(gè)IP。
>>>>
O OS操作系統(tǒng)類型的探測(cè)
nmap -O 10.130.1.43
遠(yuǎn)程檢測(cè)操作系統(tǒng)和軟件Nmap的OS檢測(cè)技術(shù)在滲透測(cè)試中用來(lái)了解遠(yuǎn)程主機(jī)的操作系統(tǒng)和軟件是非常有用的通過(guò)獲取的信息你可以知道已知的漏洞。Nmap有一個(gè)名為的nmap-OS-DB數(shù)據(jù)庫(kù)該數(shù)據(jù)庫(kù)包含超過(guò)2600操作系統(tǒng)的信息。Nmap把TCP和UDP數(shù)據(jù)包發(fā)送到目標(biāo)機(jī)器上然后檢查結(jié)果和數(shù)據(jù)庫(kù)對(duì)照。
>>>>
osscan-guess 猜測(cè)匹配操作系統(tǒng)
nmap -O --osscan-guess 192.168.1.134
通過(guò)Nmap準(zhǔn)確的檢測(cè)到遠(yuǎn)程操作系統(tǒng)是比較困難的需要使用到Nmap的猜測(cè)功能選項(xiàng),–osscan-guess猜測(cè)認(rèn)為最接近目標(biāo)的匹配操作系統(tǒng)類型。
>>>>
PN No ping掃描
nmap -O -PN 192.168.1.1/24
如果遠(yuǎn)程主機(jī)有防火墻IDS和IPS系統(tǒng)你可以使用-PN命令來(lái)確保不ping遠(yuǎn)程主機(jī)因?yàn)橛袝r(shí)候防火墻會(huì)組織掉ping請(qǐng)求.-PN命令告訴Nmap不用ping遠(yuǎn)程主機(jī)。使用-PN參數(shù)可以繞過(guò)PING命令,但是不影響主機(jī)的系統(tǒng)的發(fā)現(xiàn)。
這個(gè)掃描整個(gè)c段局域網(wǎng)的話還是比較耗時(shí)的但是信息收集很詳細(xì)大概耗時(shí)9分鐘。
T 設(shè)置時(shí)間模板
nmap -sS -T<0-5> 192.168.1.134
優(yōu)化時(shí)間控制選項(xiàng)的功能很強(qiáng)大也很有效但有些用戶會(huì)被迷惑。此外 往往選擇合適參數(shù)的時(shí)間超過(guò)了所需優(yōu)化的掃描時(shí)間。因此Nmap提供了一些簡(jiǎn)單的 方法使用6個(gè)時(shí)間模板使用時(shí)采用-T選項(xiàng)及數(shù)字(0 – 5) 或名稱。模板名稱有paranoid (0)、sneaky (1)、polite (2)、normal(3)、 aggressive (4)和insane (5)
paranoid、sneaky模式用于IDS躲避
Polite模式降低了掃描 速度以使用更少的帶寬和目標(biāo)主機(jī)資源。
Normal為默認(rèn)模式因此-T3 實(shí)際上是未做任何優(yōu)化。
Aggressive模式假設(shè)用戶具有合適及可靠的網(wǎng)絡(luò)從而加速 掃描.
nsane模式假設(shè)用戶具有特別快的網(wǎng)絡(luò)或者愿意為獲得速度而犧牲準(zhǔn)確性。
>>>>
網(wǎng)段掃描格式
nmap -sP <network address > </CIDR >
解釋CIDR 為你設(shè)置的子網(wǎng)掩碼(/24 , /16 ,/8 等)
10.1.1.0/24 = 10.1.1.1-10.1.1.255 #c段掃描
10.1.1.0/16 = 10.1.1.1-10.1.255.255 #b段掃描
10.1.1.0/8 = 10.1.1.1-10.255.255.255 #a段掃描
>>>>
從文件中讀取需要掃描的IP列表
nmap -iL ip-address.txt
>>>>
路由跟蹤掃描
路由器追蹤功能能夠幫網(wǎng)絡(luò)管理員了解網(wǎng)絡(luò)通行情況同時(shí)也是網(wǎng)絡(luò)管理人員很好的輔助工具通過(guò)路由器追蹤可以輕松的查處從我們電腦所在地到目標(biāo)地之間所經(jīng)常的網(wǎng)絡(luò)節(jié)點(diǎn)并可以看到通過(guò)各個(gè)節(jié)點(diǎn)所花費(fèi)的時(shí)間
nmap -traceroute www.baidu.com
>>>>
nmap -A 10.130.1.43
>>>>
命令混合式掃描
命令混合掃描可以做到類似參數(shù)-A所完成的功能但又能細(xì)化到我們所需特殊要求。所以一般高手選擇這個(gè)混合掃描
nmap -vv -p1-100,3306,3389 -O -traceroute 10.130.1.43
這些參數(shù)都是可以靈活調(diào)用的具體根據(jù)具體的掃描來(lái)使用各個(gè)參數(shù)。
nmap -p1-65535 -sV -sS -T4 10.130.1.134
使SYN掃描并進(jìn)行Version版本檢測(cè) 使用T4(aggressive)的時(shí)間模板對(duì)目標(biāo)ip的全端口進(jìn)行掃描。
>>>>
輸出格式
掃描的結(jié)果輸出到屏幕,同時(shí)會(huì)存儲(chǔ)一份到grep-output.txt
nmap -sV -p 139,445 -oG grep-output.txt 10.0.1.0/24
>>>>
掃描結(jié)果輸出為html
nmap -sS -sV -T5 10.0.1.99 --webxml -oX - | xsltproc --output file.html
nmap高級(jí)用法之腳本使用
>>>>
按照腳本分類進(jìn)行掃描
nmap -- 類別
nmap官方腳本文檔: https://nmap.org/nsedoc/
左側(cè)列出了腳本的分類點(diǎn)擊分類 可以看到每一個(gè)分類下有很多具體的腳本供我們使用。nmap --=類別這里的類別可以填寫(xiě)下面14大分類中的其中之一也可以填寫(xiě)分類里面的具體漏洞掃描腳本。
nmap腳本分類:
▼
「nmap腳本分類:」
- auth: 負(fù)責(zé)處理鑒權(quán)證書(shū)繞開(kāi)鑒權(quán)的腳本
- broadcast: 在局域網(wǎng)內(nèi)探查更多服務(wù)開(kāi)啟狀況如dhcp/dns/sqlserver等服務(wù)
- brute: 提供暴力破解方式針對(duì)常見(jiàn)的應(yīng)用如http/snmp等
- default: 使用-sC或-A選項(xiàng)掃描時(shí)候默認(rèn)的腳本提供基本腳本掃描能力
- discovery: 對(duì)網(wǎng)絡(luò)進(jìn)行更多的信息如SMB枚舉、SNMP查詢等
- dos: 用于進(jìn)行拒絕服務(wù)攻擊
- exploit: 利用已知的漏洞入侵系統(tǒng)
- external: 利用第三方的數(shù)據(jù)庫(kù)或資源例如進(jìn)行whois解析
- fuzzer: 模糊測(cè)試的腳本發(fā)送異常的包到目標(biāo)機(jī)探測(cè)出潛在漏洞
- intrusive: 入侵性的腳本此類腳本可能引發(fā)對(duì)方的IDS/IPS的記錄或屏蔽
- malware: 探測(cè)目標(biāo)機(jī)是否感染了病毒、開(kāi)啟了后門(mén)等信息
- safe: 此類與intrusive相反屬于安全性腳本
- version: 負(fù)責(zé)增強(qiáng)服務(wù)與版本掃描Version Detection功能的腳本
- vuln: 負(fù)責(zé)檢查目標(biāo)機(jī)是否有常見(jiàn)的漏洞Vulnerability如是否有MS08_067
>>>>
使用具體腳本進(jìn)行掃描
nmap -- 具體的腳本 www.baidu.com
>>>>
常用腳本使用案例
掃描服務(wù)器的常見(jiàn)漏洞
nmap -- vuln <target>
檢查FTP是否開(kāi)啟匿名登陸
nmap -- ftp-anon <target>
PORT STATE SERVICE
21/tcp open ftp
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
| -rw-r--r-- 1 1170 924 31 Mar 28 2001 .banner
| d--x--x--x 2 root root 1024 Jan 14 2002 bin
| d--x--x--x 2 root root 1024 Aug 10 1999 etc
| drwxr-srwt 2 1170 924 2048 Jul 19 18:48 incoming [NSE: writeable]
| d--x--x--x 2 root root 1024 Jan 14 2002 lib
| drwxr-sr-x 2 1170 924 1024 Aug 5 2004 pub
|_Only 6 shown. Use ---args ftp-anon.maxlist=-1 to see all.
對(duì)MySQL進(jìn)行暴破解
nmap --=mysql-brute <target>
3306/tcp open mysql
| mysql-brute:
| Accounts
| root:root - Valid credentials
可以看出已經(jīng)暴力成功破解了MySQL,在368秒內(nèi)進(jìn)行45061次猜測(cè)平均TPS為146.5。
對(duì)MsSQL進(jìn)行暴破解
nmap -p 1433 -- ms-sql-brute ---args userdb=customuser.txt,passdb=custompass.txt <host>
| ms-sql-brute:
| [192.168.100.128TEST]
| No credentials found
| Warnings:
| sa: AccountLockedOut
| [192.168.100.128PROD]
| Credentials found:
| webshop_reader:secret => Login Success| testuser:secret1234 => PasswordMustChange|_ lordvader:secret1234 => Login Success
對(duì)Oracle數(shù)據(jù)庫(kù)進(jìn)行暴破解
nmap -- oracle-brute -p 1521 ---args oracle-brute.sid=ORCL <host>
PORT STATE SERVICE REASON
1521/tcp open oracle syn-ack
| oracle-brute:
| Accounts
| system:powell => Account locked
| haxxor:haxxor => Valid credentials
| Statistics
|_ Perfomed 157 guesses in 8 seconds, average tps: 19
對(duì)pgSQL的暴力破解
nmap -p 5432 -- pgsql-brute <host>
5432/tcp open pgsql
| pgsql-brute:
| root:<empty> => Valid credentials
|_ test:test => Valid credentials
對(duì)SSH進(jìn)行暴力破解
nmap -p 22 -- ssh-brute ---args userdb=users.lst,passdb=pass.lst ---args ssh-brute.timeout=4s <target>
22/ssh open ssh
| ssh-brute:
| Accounts
| username:password
| Statistics
|_ Performed 32 guesses in 25 seconds.
利用DNS進(jìn)行子域名暴力破解
額(⊙⊙) 這個(gè)admin.baidu.com后面那個(gè)10.26.109.19難道真的是百度內(nèi)網(wǎng)的管理平臺(tái)地址
檢查VMWare ESXESXi和服務(wù)器CVE-2009-3733中的路徑遍歷漏洞
查詢VMware服務(wù)器vCenterESXESXiSOAP API以提取版本信息。
參數(shù)詳解
Nmap支持主機(jī)名,ip,網(wǎng)段的表示方式例如:blah.highon.coffee, namp.org/24, 192.168.0.1;10.0.0-25.1-254
>>>>
主機(jī)發(fā)現(xiàn)
>>>>
掃描技巧
>>>>
指定端口和掃描順序
>>>>
服務(wù)版本識(shí)別
>>>>
腳本掃描
>>>>
OS識(shí)別
>>>>
防火墻/IDS躲避和哄騙
>>>>
Nmap 輸出
>>>>
其局域網(wǎng)ping軟件他nmap選項(xiàng)
(作者:國(guó)光,來(lái)源:FreeBuf)
評(píng)論列表
還沒(méi)有評(píng)論,快來(lái)說(shuō)點(diǎn)什么吧~